Technika idzie do przodu, również w przypadku grajków ulicznych. Teraz nie tylko grają na gitarze elektrycznej ale nie chcą przyjmować już gotówki – cashless only. Wszystko pięknie ale jak na razie to tylko jeden tak postąpił i w dodatku jest sponsorowany przez bank Barclays. Kasę zbiera na dzieciaki więc niech mu jak najlepiej idzie.
Dobrze, ale jak to działa? Wystarczy przyłożyć zbliżeniową kartę płatniczą (ale jaką?) do gitary i już mamy mniej o 5 funtów. Wszystko za sprawą czytnika, który został sprytnie ukryty w główce gitary. Czytaj dalej »
Żeby nie było że piszę tylko o paypass, to dla odmiany informacja o Visa payWave
PKO BP poinformował, że będzie pierwszym bankiem w Polsce masowo wdrażającym funkcję zbliżeniową Visa payWave wraz z rozpoczęciem wydawania kart z mikroprocesorem. Oznacza to, że bank wyda ponad 6 milionów kart zbliżeniowych Visa payWave. Tym samym znika argument czy raczej problem – nie wdrażam, bo nie ma odpowiedniej masy krytycznej. A to dotyczyło wszystkich – punktów handlowych, agentów rozliczeniowych, innych banków. Jeśli bank, który ma blisko 30 procentowy udział w rynku kart debetowych stwierdza, że każda jego karta będzie miała “antenkę”, to agenci rozliczeniowi nie muszą się obawiać sytuacji, że wyłożą pieniądze na przystawki, z których nikt nie będzie korzystał. Sklepy nie będą zaś się wzbraniały, jeśli mają świadomość, że to będzie usługa masowa. Podobnie konkurenci, którzy mogą żałować pieniędzy na certyfikację, marketing, edukację, czy koszty wdrożenia. Tym samym mamy cywilizacyjną wręcz szansę znaczącej redukcji płatności gotówkowej. Podobnie jak ominęliśmy etap czeków, tak teraz możemy od razu wejść w technologię zbliżeniową!
Informacja pochodzi z portalu prnews.pl. Więcej możesz przeczytać tu.
Obecnie system mobilny Android stanowi gorący temat. Praktycznie co tydzień jest zapowiadane, lub wychodzi, nowe urządzenie z Androidem na pokładzie. Ilość aplikacji dla tej platformy rośnie w tempie lawinowym. Do tego dochodzą dobrze udokumentowane API dla programistów – ADK (Android Development Kit, środowisko Java) oraz natywne NDK (Native Development Kit, C/ C++). Jakby tego było mało, to na dokładkę mamy system operacyjny w formie Open Source. No i mamy przepis na sukces rynkowy. Aha, jeszcze jedno – to jest system sygnowany przez Google więc jest trendy
Jednej rzeczy, której w Androidzie mi brakuje to obsługa SE (Secure Element). To powoduje że wykorzystanie sprzętowych modułów bezpieczeństwa jest niemożliwe. Możemy zapomnień np. o NFC w telefonie z Androidem na pokładzie. Oczywiście taka pustka nie może istnieć zbyt długo. Skoro Google nie chciało zabrać się za implementację obsługi SE to ktoś to musiał zrobić.
Jedną z pierwszych firm, która ogłosiła chęć zagospodarowania tej działki było Giesecke & Devrient. G&D opublikowało nawet swój projekt „Secure Element Evaluation Kit for the Android platform” na Google Code Project. Oczywiście G&D nie robi tego bezinteresownie. W ten sposób promuje swój produkt, o którym pisałem wcześniej. Jednak biorąc pod uwagę że G&D robi to „zgodnie ze sztuką” i trzyma się ogólnie przyjętych standardów, to można im tylko podziękować. Przy okazji G&D opublikowało ciekawy dokument z którym warto się zapoznać – Security and Trust on Android. Publikacja ta jest o tyle interesująca że zawieranie tylko opis wizji projektantów ale jednocześnie stanowi świetną podstawę do zapoznania się z tematem.
Od wczoraj jestem posiadaczem zegarka pełniącego rolę „antenki” do karty PayPass’owej, o którym pisałem w poprzednim poście. Zegarek wygląda zupełnie zwyczajnie i niczym się nie wyróżnia ale możliwość płacenia nim – to już robi wrażenie. W ciągu najbliższego czasu przedstawię na blogu moje spostrzeżenia dotyczące zegarka, a już teraz krótkie wprowadzenie.
Producentem zegarka jest firma LAKS, która dostarczała również podobne zegarki do Turcji 2 lata wcześniej. Piszę podobne ponieważ w Turcji była to wersja LAKS Smart Transaction Watch. Natomiast u nas jest to już druga wersja LAKS Smart Transaction Watch 2 (LSTW2). Jest to ten sam zegarek jaki można spotkać w Rio de Janeiro gdzie może służyć jako nośnik RioCard. Trochę o RioCard możecie zobaczyć na poniższym filmie.
Pierwsze co rzuca się w oczy, w stosunku do poprzedniej wersji, to brak złącza USB. Zegarek LSTW2 pełni rolę jedynie nośnika/anteny dla karty chipowej w formacie ISO ID-000 (rozmiar karty SIM) i nie wyjścia stykowego. Trochę szkoda, bo w ten sposób ograniczona została funkcjonalność zegarka.
Posted on Grudzień 10, 2009 by Radosław Frankowski
Zegarek z funkcją PayPass
Niezmiernie mnie cieszy że w naszym kraju tak szybko zaczęła się rozwijać technologia płatności zbliżeniowych. Sam korzystam z karty PayPass od ponad roku, a paywav’a używam od pół roku. Niestety są to karty po które dość rzadko sięgam. Wynika to z prostego faktu – braku punktów akceptacji. Obecnie w Poznaniu zazwyczaj robię zakupy „zbliżeniówką” w Coffee Heaven, Multikinie, Empiku i czasami w McDonald’s. Początkowo było naprawdę ciężko zapłacić taką kartą. Obsługa zazwyczaj nie wiedział co ma z tym zrobić (prawie wszędzie), czytniki były schowane pod ladę (McDonald’s) lub wyłączone (Coffee Heaven – „zasilacz od czytnika jest taki duży że nie mieści nam się na liście zasilającej”). Do tego dochodziło brak przeszkolenia personelu i skomplikowana obsługa terminala przy płatności zbliżeniowej (wybór z menu innych pozycji w tym enigmatycznie brzmiące dla personelu „płatności RFID”). No cóż od tego czasu trochę już minęło i eService poprawił oprogramowanie terminali, więcej ludzi ma już karty zbliżeniowe, sprzedawcy już się obyli z „nową technologią”, a i punktów akceptacji też nam przybyło.
Będąc ostatnio w Warszawie miałem możliwość przyjrzenia się bliżej nowym produktom z branży płatności zbliżeniowych. I tak Mastercard wraz z BZ WBK pokazał fajny gadżet jakim jest „zegarek z PayPass’em”. Według mnie, jest to bardzo dobry pomysł na promocję drobnych płatności zbliżeniowych. Pytanie tylko czy zegarek spodoba się ludziom i będą chcieli go nosić. Swoja drogą już 2 lata temu w Turcji wprowadzono podobne zegarki dla zachęcenia ludzi do płatności zbliżeniowych. Poniżej humorystyczna reklama Garanti Bank z PayPass’owym zegarkiem
Mini karta Polbank - Era
Kolejny przykład „zbliżeniówki” przedstawili prawie równocześnie ING oraz Polbank razem z Erą. Tym razem są to mini karty, które można np. umieścić na swoim telefonie komórkowym, odtwarzaczu MP3 i w ten sposób płacić za drobne zakupy. ING nazwał swoja mini kartę „zbliżak” – jak dla mnie za bardzo kojarzy się ze zwierzakiem
Jak widać dla każdego coś miłego. Nie jesteśmy już skazani na zbliżeniówki w formie zwykłej karty płatniczej. Teraz doszły nam mini karty i zegarki. Pewnie za chwile ktoś wprowadzi brelok do kluczy z PayPass’em.
Mini karta ING
Wracając do tytułowego pytania można na nie odpowiedzieć: w Polsce zdecydowanie więcej innowacyjnych rzeczy wprowadza Mastercard. Natomiast Visa i jej PayWave zostaje trochę w tyle. Mam nadzieję że podgonią stratę i tez pokażą coś ciekawego.
Jako ciekawostkę dodam że po raz pierwszy zapłaciłem za taksówkę kartą zbliżeniową. Było to w Warszawie, a taksówka należała do korporacji Wawa Taxi. Tak trzymać
Jakiś czas temu oglądałem bardzo ciekawy produktu Giesecke & Devrient pod nazwą Mobile Security Card CL. Prezentujący go inżynier pokazywał wersję nad którą jeszcze pracowali i nie wszystko jeszcze działało jak trzeba.
OK, ale o co chodzi? Chodzi o połączenie karty microSD, standardowo używanej w telefonach komórkowych, razem z Java Card. Co ważne karty inteligentnej, która jest dualna (posiada interfejs stykowy i zbliżeniowy). Daje nam to możliwość rozszerzenia telefonu o podpis elektroniczny, bilet komunikacji miejskiej, kontrolę dostępu czy też płatności zbliżeniowe.
Jak mam w takim razie podpisać plik który znajduje się na moim laptopie wykorzystując komórkę wyposażoną w Mobile Security Card CL? Takie było moje pierwsze pytanie do pracownika G&D. Jak się okazało dość prosto. Miły Pan użyczył mi kartę, którą włożyłem do aparatu pracującego pod kontrolą Windows Mobile i podłączyłem telefon do komputera za pomocą standardowego kabla mini USB. Na laptopie pokazał się kreator wykrywania nowego sprzętu, po czy zakomunikował że czytnik kart został zainstalowany poprawnie. Teraz wystarczyło tylko zainstalować jeszcze middleware StarSign i już można było zobaczyć certyfikaty na karcie microSD.
A co z interfejsem zbliżeniowym? Otóż karta, oprócz standardowych złączy karty microSD, posiada jeszcze dwa do których należy podłączyć antenę dla interfejsu ISO 14443. Tu niestety pojawia się problem – nie ma jeszcze telefonów które taką antenę posiadają. Można co prawda użyć do tego specjalnego breloczka, posiadającego antenę ,ale jest to raczej rozwiązanie tymczasowe.
Zapowiada się całkiem fajny film z Keanu Reeves’em - Dzień, w którym zatrzymała się Ziemia. Będzie można go zobaczyć od jutra w naszych kinach. Dobra, ale czemu piszę o tym na moim blogu? Otóż w filmie wykorzystano bardzo ciekawy holder do kart wyprodukowany przez firmę Identity Stronghold. Nie jest to zwykły (zazwyczaj paskudny) kawałek plastiku z miejscem na identyfikator. Ten jest inny Po pierwsze został zaprojektowany przez studio ROBRADY Design znane miedzy innymi z projektu Seegway. Dostajemy więc produkt nie tylko ładny ale też funkcjonalny (np. łatwe wyjmowanie karty jedną ręką). Po drugie Secure Badgeholder posiada certyfikat FIPS 201, co daje nam pewność że nikt nie odczyta danych z karty RFID znajdującej się w nim. Polecam obejrzenie krótkiej animacji demonstrującej sposób działania holdera.
Middleware przygotowany przez TrustBearer Labs trafił na listę FIPS 201 Approved Products List (APL) (392 pozycja). W odróżnieniu od innych producentów TrustBearer przygotował oprogramowanie, które pozwala na silne uwierzytelnianie w aplikacjach internetowych przy użyciu poświadczeń rządowych wydanych na kartach PIV (Personal Identity Verification) za pomocą własnej platformy OpenID. Używając technologii OpenID i SAML, TrustBearer wspiera Single Sign-On w takich aplikacjach internetowych jak Salesforce, czy też Google Apps.
Platforma OpenID TrustBearer jest częścią federacji obsługującej tożsamości cyfrowe. Serwis obsługuje silne uwierzytelnienie (dokładnie dwu składnikowe – „coś co mam” – karta i „coś co znam” – PIN) w witrynach internetowych, które wprowadziły standard OpenID lub SAML. Warto podkreślić że middleware TrustBearer obsługuje całkiem sporą ilość wiele kart m.in.
PIV,
CAC (Common Access Card),
Belgium Identity Card,
FineID (Finland National ID card),
Oberthur Cosmo 64RSA,
IBM JCOP.
Middleware współpracuje z przeglądarkami: IE 6.0, Firefox 2, Safari 2 i z ich nowszymi wersjami. Jak do tej pory jest to jedyne znane mi działające rozwiązanie gdzie wykorzystano karty inteligentne w powiązaniu ze standardem OpenID.
Będąc w kinie z synem zobaczyłem co to znaczy prawdziwe Strong Authentication. Przed filmem Madagaskar 2 puścili zwiastun Potwory kontra Obcy. Zwiastun pokazuje jak wygląda identyfikacja na najwyższym poziomie Nie będę opisywał o co chodzi – musisz to sam zobaczyć.
Pod koniec zeszłego roku, na konferencji 25th Chaos Communication Congress (25C3) miało miejsce ciekawe wystąpienie. Grupa specjalistów (Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molinar, Dag Arne Osvik i Benne De Weger) spreparowała fałszywy certyfikat firmy RapidSSL. Badacze wykorzystali znaną od 2004 roku słabość algorytmu MD5 polegającą na wygenerowaniu kolizji. Mechanizm generowania kolizji opiera się na znalezieniu dwóch wiadomości z taką samą wartością skrótu. Mając zatem oryginalny certyfikat i jego skrót należy spreparować fałszywy certyfikat tak aby dawał taką samą funkcję skrótu.
Znalezienie kolizji było możliwe m.in. dzięki wykorzystaniu Sony Playstation 3. Naukowcy mieli do dyspozycji „konsolową farmę” składającą się z ponad 200 połączonych maszyn. Zawsze wiedziałem że w konsolach drzemie ogromna moc „marnowana” na gry
Wracając jednak do certyfikatów to dziwi mnie fakt że RapidSSL należąca do Verisign(podobnie jak marka GeoTrustczy thawte) dalej używa przestarzałego algorytmu MD5 zamiast korzystać z SHA-1.
Minął ponad tydzień od publikacji informacji na temat sfałszowanego certyfikatu. Dziś sprawdziłem z samej ciekawości jak wygląda „wymiana” certyfikatów RapidSSL korzystających z funkcji MD5. Moje zaskoczenie było wielkie gdy na stronie RapidSSL znalazłem stary certyfikat, który jest w dalszym ciągu używany.
Certyfikat ze strony RapidSSL
Idąc dalej sprawdziłem listę CRL – faktycznie jest ważny. Na naszym rodzimym podwórku jest różnie. Przykładowo firma Gigaone zajmująca się sprzedażą certyfikatów RapidSSL posiada już nowy certyfikat na swojej stronie testowej.
Certyfikat ze strony Gigaone
Natomiast starym certyfikatem z MD5 posługuje się np. pasaż Otoli.
Jeszcze jedno. Jeśli chodzi o najczęściej wykorzystywany obecnie algorytm SHA-1 to już w 2005 roku niejaki prof. Xiaoyun Wang przedstawił teoretyczny sposób ataku różnicowego na ten algorytm. Na razie nie jest znana praktyczna próba ataku zakończona sukcesem. Wymaga to ogromnych mocy obliczeniowych. Biorąc jednak pod uwagę postęp technologiczny NIST zaleciła już w 2006 roku agencjom rządowym USA, aby zaprzestały używać algorytmu SHA-1 i wykorzystały algorytmy z rodziny SHA-2 uważane za znacznie bezpieczniejsze. Od 2010 żadna agencja rządowa USA nie może posługiwać się algorytmem SHA-1.
Technika idzie do przodu, również w przypadku grajków ulicznych. Teraz nie tylko grają na gitarze elektrycznej ale nie chcą przyjmować już gotówki – cashless only. Wszystko pięknie ale jak na razie to tylko jeden tak postąpił i w dodatku jest sponsorowany przez bank Barclays. Kasę zbiera na dzieciaki więc niech mu jak najlepiej idzie.
Żeby nie było że piszę tylko o paypass, to dla odmiany informacja o Visa payWave 
Obecnie system mobilny 
Zapowiada się całkiem fajny film z Keanu Reeves’em - 
Middleware przygotowany przez 
